株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が2023年3月第2回目のニュースレターとなります。
1. CISA、「AzureAD」や「MS365」環境向けのインシデント調査ツールを公開
CISAは、マイクロソフトのクラウドサービス環境において利用できるインシデント調査ツールをリリースした。
「Untitled Goose Tool」は、マイクロソフトのクラウドサービス「Azure Active Directory」「Microsoft 365」環境における攻撃者の不審な活動を追跡するためのインシデント対応支援ツール。Pythonにて開発されている。
GitHubのリポジトリよりダウンロードすることができる。
- 詳しくは:Untitled Goose Tool
- 注目ポイント:手動では手間がかかるイベント収集やクラウドサービスの設定状況の出力や分析などをサポートしている。
2. MS月例パッチ、産業制御システムへの影響に注意
3月の月例セキュリティ更新によって実施されたWindowsのセキュリティ強化が、産業制御システムの動作に影響を及ぼすおそれがある。インフラ事業者の業界団体なども注意を呼びかけている。
DCOMサーバにおいて段階的に実施されてきたセキュリティ強化が最終段階を迎え、3月のパッチ適用後は無効化できなくなる。DCOMプロトコルは横河電機をはじめ、産業制御システムにおいて広く利用されている。今回の変更により産業制御機システムのデバイス間において重要な通信が中断される可能性がある
- 詳しくは: WaterISAC:Potential for Mandatory Microsoft DCOM Patch to Disrupt SCADA Communications
- 注目ポイント:突然システムが通信を停止した場合は、トラブルシューティング時に原因として考慮する必要がある。
3. 標的型攻撃メールで東大研究機関のPCがマルウェア感染
東京大学の研究機関である未来ビジョン研究センター(IFI)においてマルウェアの感染が発生し、個人情報が外部に流出した可能性があることがわかった。同大によれば、2022年7月中旬ごろに受信した標的型攻撃メールによって同センターで管理するパソコンがマルウェアへ感染したもの。同大学生に関するメールアドレスや学籍番号など38件、住所やメールアドレス、一部銀行口座など事務手続き書類に関する情報23件などが流出した可能性がある。
- 詳しくは:東大未来ビジョン研究センターリリース
- 注目ポイント:一般的に大学の人・システムは企業よりもセキュリティが脆弱である。大学もセキュリティインシデントに備え、堅牢なシステム構築と人の教育を進める必要がある。
4. 「Emotet」に新手口
「OneNoteファイル」を悪用するあらたな手口が確認された。関係者から送付されたように見えるファイルであっても、引き続き警戒するようセキュリティ機関が呼びかけている。
今回確認された攻撃では受信者がファイルを開くと、ボタンをダブルクリックするよう促すアラート画面のような画像が表示されるが、ボタンの背後にスクリプトが配置されており、誤って指示に従ってしまうと「Emotet」に感染するおそれがあるという。
- 詳しくは: JPCERT/CC
- 注目ポイント:IPAは、メールのリンクや添付ファイルを不用意に開かない、編集やマクロのブロックを安易に解除したり、警告ウィンドウを無視したりしない等といった、基本的な対策を怠らないよう呼び掛けている。
5. 「EmoCheck v2.4.0」がリリース
JPCERT/CCは、マルウェア「Emotet」の感染状況をチェックできる「EmoCheck v2.4.0」をリリースした。「GitHub」にて公開されており、無償で利用できる。
ホスト上のプロセス一覧から「Emotet」を検出する。約10カ月ぶりのアップデートとなった。
3月より「Emotet」が活動を再開しており、従来バージョンで検出できないケースが確認されていたが、一部の検知機能のロジックを改善することで対応した。YARAルールを用いたメモリスキャン機能が追加されている。
- 詳しくは: GitHub:EmoCheck
- 注目ポイント:昨年末から活動が観測されていなかったが、3月7日より再度活発化していることが確認されている。「OneNote」を経由した新しい攻撃手法も観測されており、警戒が必要だ。
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595